Objevena další kritická chyba Řízení uživatelských účtů Windows 7

Objevena další kritická chyba Řízení uživatelských účtů Windows 7

Zhruba před týdnem jsme informovali o chybě, která umožňuje pomocí emulace stisků klávesnice snížit úroveň zabezpečení Řízení uživatelských účtů (UAC) Windows 7. Netrvalo dlouho a zveřejněna byla další kritická chyba stejné služby v nejnovějším operačním systému Microsoftu. Tentokrát snad výrobce nebude trvat na tom, že se jedná o záměrnou vlastnost. Tato nová chyba totiž umožňuje libovolné aplikaci elevaci svých práv až na úroveň administrátora bez toho, aby byla Řízením uživatelských účtů zablokována, nebo byl alespoň dotázán uživatel, zda chce danou akci povolit. Zranitelnost zveřejnil známý blogger Long Zheng s předpokladem, že Microsoft o ní ví a v současných interních testovacích sestaveních Windows 7 ji již možná má i opravenou. To ovšem nic nemění na faktu, že miliony počítačů, které používají Windows 7 Beta jsou potenciálně ohroženy.

Chyba zneužívá toho, že ve výchozím nastavení Řízení uživatelských účtů nevyžadují administrátorské akce prováděné komponentami samotného operačního systému potvrzení elevace svých práv. Toto chování je novinkou Windows 7, která má UAC učinit méně otravným. Některé komponenty systému jsou přitom využitelné i ke spouštení jiných aplikací.

Útočníkovi tak stačí napsat jednoduchou aplikaci, která se zvýšenými oprávněními a bez upozornění UAC spustí například proces RUNDLL32.exe s parametrem pro spuštění jakékoli jiné (tentokrát již škodlivé) aplikace. Zprostředkovaně spuštěná aplikace nastartuje s administrátorskými oprávněními, která podědí od aplikace, jenž ji spustila, tedy od RUNDLL32.exe. Neškodnou prezentaci tohoto chování připravil Rafael Rivera. Ve zdrojovém článku se pak nachází diagram s detailním popisem této chyby. Vedle RUNDLL32.exe je možno použít řadu systémových procesů Windows, které dokáží udělat totéž. Uživatelé Windows 7 Beta by měli nastavit Řízení uživatelských účtů na nejvyšší úroveň, která vynutí i na součástech operačního systému potvrzení administrátora.

Zdroj: I started something

Diskuze (66) Další článek: Gmail má nový panel nástrojů

Témata článku: Software, Microsoft, Windows, Bezpečnost, Windows 7, Rafael, Blogger, Spuštěná aplikace, River, Účet, Objev, Systémový proces, Kritická chyba, Chyba, Stejná zranitelnost, Řízení


Určitě si přečtěte

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 141

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 60

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Šmírovačka kamerami Googlu: Koukněte se, co nového zachytily na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 44

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 57

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

Portál občana už funguje. Na státní web vypadá až překvapivě použitelně

** Portál občana už funguje, vyřídíte na něm první požadavky ** Funkce se budou postupně rozšiřovat ** Web je docela moderní a přehledný

David Polesný | 65


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji